Kontrol Keamanan v3: Postur dan pengelolaan kerentanan
Manajemen Postur dan Kerentanan berfokus pada kontrol untuk menilai dan meningkatkan postur keamanan Azure, termasuk pemindaian kerentanan, pengujian penetrasi dan remediasi, serta pelacakan, pelaporan, dan koreksi konfigurasi keamanan dalam sumber daya Azure.
PV-1: Menentukan dan membangun konfigurasi yang aman
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Prinsip Keamanan: Tentukan garis besar konfigurasi yang aman untuk berbagai jenis sumber daya di cloud. Atau, gunakan alat manajemen konfigurasi untuk membangun garis besar konfigurasi secara otomatis sebelum atau selama penyebaran sumber daya sehingga lingkungan dapat mematuhi secara default setelah penyebaran.
Panduan Azure: Gunakan Azure Security Benchmark dan garis besar layanan guna menentukan garis besar konfigurasi Anda untuk setiap layanan atau penawaran Azure masing-masing. Lihat arsitektur referensi Azure dan arsitektur zona landasan Kerangka Kerja Adopsi Cloud untuk memahami kontrol dan konfigurasi keamanan penting yang mungkin diperlukan di seluruh sumber daya Azure.
Gunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi layanan serta lingkungan aplikasi, termasuk templat Azure Resource Manager, kontrol RBAC Azure, dan kebijakan, dalam satu definisi cetak biru.
Implementasi dan konteks tambahan:
- Ilustrasi penerapan Pagar pembatas di zona arahan Skala Perusahaan
- Bekerja dengan kebijakan keamanan di Microsoft Defender untuk Cloud
- Tutorial: Membuat dan mengelola kebijakan untuk menegakkan kepatuhan
- Azure Blueprints
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
PV-2: Mengaudit dan menerapkan konfigurasi yang aman
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2.2 |
Prinsip Keamanan: Terus pantau dan berikan peringatan saat ada deviasi dari garis besar konfigurasi yang ditentukan. Terapkan konfigurasi yang diinginkan yang sesuai dengan konfigurasi garis besar dengan menolak konfigurasi yang tidak sesuai atau menyebarkan konfigurasi.
Panduan Azure: Gunakan Microsoft Defender untuk Cloud guna mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya.
Gunakan aturan Azure Policy [tolak] dan [sebarkan jika tidak ada] untuk menerapkan pengaturan yang aman di seluruh sumber daya Azure Anda.
Untuk audit dan penerapan konfigurasi sumber daya yang tidak didukung oleh Azure Policy, Anda mungkin perlu menulis skrip Anda sendiri atau menggunakan alat pihak ketiga untuk menerapkan audit dan penegakan konfigurasi.
Implementasi dan konteks tambahan:
- Memahami efek Azure Policy
- Buat dan kelola kebijakan untuk menegakkan kepatuhan
- Mendapatkan data kepatuhan sumber daya Azure
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
PV-3: Menetapkan dan membangun konfigurasi yang aman untuk sumber daya komputasi
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2.2 |
Prinsip Keamanan: Tentukan garis besar konfigurasi yang aman untuk sumber daya komputasi Anda, seperti mesin virtual dan kontainer. Gunakan alat manajemen konfigurasi untuk membangun garis besar konfigurasi secara otomatis sebelum atau selama penyebaran sumber daya komputasi sehingga lingkungan dapat mematuhi secara default setelah penyebaran. Atau, gunakan citra yang telah dikonfigurasi sebelumnya untuk membangun garis besar konfigurasi yang diinginkan ke dalam templat citra sumber daya komputasi.
Panduan Azure: Gunakan garis besar sistem operasi yang direkomendasikan Azure (untuk Windows dan Linux) sebagai tolok ukur untuk menentukan garis besar konfigurasi sumber daya komputasi Anda.
Selain itu, Anda dapat menggunakan citra mesin virtual kustom atau citra kontainer dengan konfigurasi tamu Azure Policy dan Konfigurasi Status Azure Automation untuk membangun konfigurasi keamanan yang diinginkan.
Implementasi dan konteks tambahan:
- Garis besar konfigurasi keamanan OS Linux
- Garis besar konfigurasi keamanan OS Windows
- Rekomendasi konfigurasi keamanan untuk sumber daya komputasi
- Gambaran Umum Konfigurasi Status Azure Automation
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
PV-4: Mengaudit dan menerapkan konfigurasi yang aman untuk sumber daya komputasi
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2.2 |
Prinsip Keamanan: Terus pantau dan berikan peringatan saat ada deviasi dari garis besar konfigurasi yang ditentukan pada sumber daya komputasi Anda. Terapkan konfigurasi yang diinginkan yang sesuai dengan konfigurasi garis besar dengan menolak konfigurasi yang tidak sesuai atau menyebarkan konfigurasi pada sumber daya komputasi.
Panduan Azure: Gunakan agen konfigurasi tamu Azure Policy dan Microsoft Defender untuk Cloud guna menilai dan memulihkan deviasi konfigurasi secara berkala pada sumber daya komputasi Azure Anda, termasuk mesin virtual, kontainer, dan lainnya. Selain itu, Anda dapat menggunakan templat Azure Resource Manager, citra sistem operasi kustom, atau Konfigurasi Status Azure Automation untuk mempertahankan konfigurasi keamanan sistem operasi. Templat VM Microsoft bersama dengan Azure Automation State Configuration dapat membantu dalam memenuhi dan memelihara persyaratan keamanan.
Catatan: Citra mesin virtual Marketplace Azure yang dipublikasikan oleh Microsoft dikelola dan dipertahankan oleh Microsoft.
Implementasi dan konteks tambahan:
- Cara menerapkan rekomendasi penilaian kerentanan Microsoft Defender untuk Cloud
- Cara membuat komputer virtual Azure dari templat ARM
- Ringkasan Azure Automation State Configuration
- Membuat komputer virtual Windows di portal Microsoft Azure
- Keamanan kontainer di Pertahanan Microsoft untuk Cloud
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
PV-5: Melakukan penilaian kerentanan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Prinsip Keamanan: Lakukan penilaian kerentanan untuk sumber daya cloud Anda di semua tingkatan dalam jadwal tetap atau sesuai permintaan. Lacak dan bandingkan hasil pemindaian untuk memverifikasi kerentanan telah diremediasi. Penilaian harus mencakup semua jenis kerentanan, seperti kerentanan di layanan Azure, jaringan, web, sistem operasi, kesalahan konfigurasi, dan sebagainya.
Waspadai potensi risiko yang terkait dengan akses hak istimewa yang digunakan oleh pemindai kerentanan. Ikuti praktik terbaik keamanan akses hak istimewa untuk mengamankan akun administratif apa pun yang digunakan untuk pemindaian.
Panduan Azure: Ikuti rekomendasi dari Microsoft Defender untuk Cloud dalam melakukan penilaian kerentanan di mesin virtual Azure, citra kontainer, dan server SQL Anda. Microsoft Defender untuk Cloud memiliki pemindai kerentanan bawaan untuk pemindaian mesin virtual. Gunakan solusi pihak ketiga untuk melakukan penilaian kerentanan pada aplikasi dan perangkat jaringan (misalnya, aplikasi web)
Ekspor hasil pemindaian pada interval yang konsisten dan bandingkan hasil dengan pemindaian sebelumnya untuk memverifikasi bahwa kerentanan telah diatasi. Saat menggunakan rekomendasi manajemen kerentanan yang disarankan oleh Microsoft Defender untuk Cloud, Anda dapat melakukan pivot ke portal solusi pemindaian yang dipilih guna menampilkan riwayat pemindaian data.
Saat melakukan pemindaian jarak jauh, jangan gunakan satu akun administratif yang digunakan secara terus-menerus. Pertimbangkan untuk menerapkan metodologi provisi JIT (Just In Time) untuk akun pemindaian. Info masuk untuk akun pemindaian harus dilindungi, dipantau, dan digunakan hanya untuk pemindaian kerentanan.
Catatan: Layanan Azure Defender (termasuk Defender untuk server, registri kontainer, App Service, SQL, dan DNS) menyematkan kemampuan penilaian kerentanan tertentu. Peringatan yang dihasilkan dari layanan Azure Defender harus dipantau dan ditinjau bersama dengan hasil dari alat pemindaian kerentanan Microsoft Defender untuk Cloud.
Catatan: Pastikan notifikasi email penyiapan Anda di Microsoft Defender untuk Cloud.
Implementasi dan konteks tambahan:
- Cara menerapkan rekomendasi penilaian kerentanan Microsoft Defender untuk Cloud
- Pemindai kerentanan terpadu untuk komputer virtual
- Penilaian Kerentanan SQL
- Mengekspor hasil pemindaian kerentanan Microsoft Defender untuk Cloud
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
PV-6: Secara cepat dan otomatis memulihkan kerentanan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: REMEDIASI CACAT | 6.1, 6.2, 6.5, 11.2 |
Prinsip Keamanan: Dengan cepat dan otomatis sebarkan patch dan pembaruan untuk meremediasi kerentanan di sumber daya cloud Anda. Gunakan pendekatan berbasis risiko yang tepat untuk memprioritaskan remediasi kerentanan. Misalnya, kerentanan yang lebih parah dalam aset bernilai lebih tinggi harus ditangani sebagai prioritas yang lebih tinggi.
Panduan Azure: Gunakan Manajemen Pembaruan Azure Automation atau solusi pihak ketiga untuk memastikan bahwa penambal keamanan terbaru terinstal pada mesin virtual Windows dan Linux Anda. Untuk VM Windows, pastikan Windows Update telah difungsikan dan disetel untuk memperbarui secara otomatis.
Untuk perangkat lunak pihak ketiga, gunakan solusi manajemen patch pihak ketiga atau Penerbit Pembaruan Pusat Sistem untuk Configuration Manager.
Prioritaskan pembaruan mana yang akan disebarkan terlebih dahulu menggunakan program penilaian risiko umum (seperti Sistem Penilaian Kerentanan Umum) atau peringkat risiko default yang disediakan oleh alat pemindaian pihak ketiga Anda dan sesuaikan dengan lingkungan Anda. Anda juga harus mempertimbangkan aplikasi mana yang memiliki risiko keamanan tinggi dan mana yang memerlukan waktu aktif tinggi.
Implementasi dan konteks tambahan:
- Cara mengonfigurasi Pengelolaan Pembaruan untuk komputer virtual di Azure
- Mengelola pembaruan dan patch untuk Azure VM Anda
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
PV-7: Menjalankan operasi tim merah reguler
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Prinsip Keamanan: Simulasikan serangan dunia nyata untuk memberikan pandangan yang lebih lengkap tentang kerentanan organisasi Anda. Operasi tim merah dan uji penetrasi melengkapi pendekatan pemindaian kerentanan tradisional untuk menemukan risiko.
Ikuti praktik terbaik industri untuk merancang, mempersiapkan, dan melakukan pengujian semacam ini guna memastikan tidak akan menyebabkan kerusakan atau gangguan pada lingkungan Anda. Hal ini harus selalu menyertakan pembahasan cakupan pengujian dan kendala bersama pemangku kepentingan terkait serta pemilik sumber daya.
Panduan Azure: Sebagaimana diperlukan, lakukan uji penetrasi atau aktivitas tim merah pada sumber daya Azure Anda dan pastikan remediasi pada semua temuan keamanan penting.
Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.
Implementasi dan konteks tambahan:
- Uji penetrasi di Azure
- Aturan Keterlibatan Uji Penetrasi
- Pembentukan Red Team Microsoft Cloud
- Panduan Teknis terkait Penilaian dan Pengujian Keamanan Informasi
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):